고객센터1599-0700 월-금 08:00~23:00, 일 12:30~22:30
토·공휴일 10:00~15:00
Copyright ⓒ 한국경제TV. All Rights Reserved. 무단전재 및 재배포 금지

"비밀번호부터 바꾸자"…쿠팡 '개인정보 유출' 사태에 난리

입력 2025-12-01 17:09
수정 2025-12-02 09:32

국내 1위 유통 플랫폼 쿠팡에서 3370만명에 달하는 개인정보가 유출되는 초유의 사태가 벌어지자 온라인 커뮤니티에 불신과 혼란이 빠르게 번지고 있다. 최근 몇 년 간 여러 플랫폼을 거쳐 반복되는 개인정보 유출 사고에 이용자들은 "사실상 전 국민 정보가 돌아다니는 것과 다름없다"며 피로감을 드러냈다. 역대 최대 규모 유출…고객별 유출 항목 파악 못해

1일 업계에 따르면 이번 사고는 전직 쿠팡 직원이 인증 토큰·서명키를 이용해 장기간 고객 정보에 접근한 것으로 추정된다. 유출된 고객 계정은 3370만개로 역대 최대 수준의 유출 사고다. 이름과 이메일, 전화번호, 주소, 일부 주문 정보 등이 포함된 것으로 알려졌다.

박대준 쿠팡 대표는 "현재는 피해자, 피해 범위, 유출된 내용을 명확하게 확정하는 게 우선"이라고 했다. 다만 고객별로 어떤 항목이 유출됐는지 아직 정확히 파악되지 않아 이용자들은 스스로 대응 방안을 마련, 공유하고 있다.

가장 많이 언급되는 건 기존 대형 유출 사고 때 나온 대응책이다. 우선 공동 현관 비밀번호와 개인통관고유부호를 바꿔야 한다는 주장이 쏟아졌다. 심지어는 신분증 재발급과 인터넷 은행에서 비대면 계좌 개설 차단 신청, 명의도용 방지 서비스 신청 등 다양한 방법이 공유됐다. 내부 보안 강화, 이커머스 업계 전반으로 번져
쿠팡 사태 이후 주요 이커머스 플랫폼은 즉각 내부 보안 점검에 돌입했다. 특히 이번 개인정보 유출은 인증토큰과 서명키를 이용한 전직 직원 소행에 무게가 실리면서 전방위적 점검이 이뤄지는 분위기다. 접근 권한 관리, 로그 기록, 모니터링 체계 등 기본적 통제 절차 등을 점검하고 있는 것으로 전해졌다.

G마켓과 SSG닷컴, 롯데온 등은 자체 긴급 보안 점검과 내부 통제 강화에 나섰다고 밝혔다. 업계 일각에서는 최근 이커머스 시장 구조가 글로벌 사업자와의 합작이 늘어난 점을 고려하면 보안 관리 측면에서 보다 높은 주의가 필요하다고 보고 있다. 특히 G마켓이 올해 알리바바와 합작법인 '그랜드오푸스홀딩스'를 설립한 것처럼 국내 기업과 해외 플랫폼의 결합으로 고객 정보다 해외로 전송될 가능성이 커졌고 유출될 경우 어디까지 흘러갈지 가늠하기 어려워졌다는 지적도 나온다.

알리익스프레스와 테무 쉬인 등 중국계 이커머스 기업의 국내 시장 진출이 이뤄지면서 데이터 접근 범위나 국외 이전 가능성에 대한 소비자 우려는 한층 커지고 있다.

실제로 중국계 플랫폼들은 개인정보 처리 위반으로 국내에서 이미 여러 차례 제재를 받은 바 있다. 알리익스프레스는 제대로 된 동의 없이 개인정보를 중국 업체 등에 넘기다가 지난해 7월 약 20억원의 과징금을 부과받았고, 테무 역시 무단으로 개인정보를 국외 이전하고 법적 근거 없이 주민번호를 수집하다가 지난 5월 약 14억원의 과징금 처분을 받았다. 다만, 테무는 위원회 조사 과정에서 해당 정보를 모두 파기했다. 대규모 보안 투자에도 5개월간 포착 못해…관리 체계 도마에
쿠팡은 최근 4년간 2700억원 이상을 정보 보호 부문에 투자해 왔다. 투자 비중만 놓고 보면 삼성전자와 KT 다음으로 높은 수준이다. 그런데도 퇴사자의 접근 권한 회수 실패, 토큰 서명키 미갱신 등 보안 절차가 제대로 작동하지 않았고. 유출 정황을 약 5개월간 포착하지 못한 것이 핵심 쟁점으로 지적된다.

업계 일각에서는 "대규모 예산을 개인정보보호에 쓰면서도 이번처럼 대규모로 정보가 유출됐는데도 5개월간 유출 사실을 감지하지 못했다는 것이 이해되지 않는다"며 "경보시스템이 정상적으로 작동하지 않은 것"이라는 반응도 나온다.

사태 확산에 식품·패션·생활용품 등 쿠팡 의존도가 높은 기업들은 "직매입 구조상 당장 납품 차질은 없다"는 반응을 내놓으면서도 사태를 예의주시하고 있다. 국내 1위 플랫폼인 쿠팡에서 발생한 개인정보 유출 건으로 자칫 소비심리 위축에 매출 감소로 이어질 가능성이 있기 때문이다. 경찰 IP 확보…협박 메일 동일인 확인 중
경찰은 개인정보 유출 혐의를 받는 피의자를 추적 중이다. 서울경찰청 관계자는 1일 정례 기자간담회에서 "현재 쿠팡 측으로부터 서버 로그기록을 제출받아서 분석 중"이라며 "피의자가 범행에 사용한 IP를 확보해 추적 중"이라고 밝혔다.

경찰은 피의자의 국적이 어디인지, 쿠팡에서 퇴직해 출국한 상태인지, 쿠팡에 '유출 사실을 언론에 알리겠다'는 내용의 협박성 이메일을 보낸 사람과 동일인인지 등도 확인하고 있다.

소비자단체는 쿠팡 회원 탈퇴와 불매 운동 등 집단행동을 예고하고 나섰다. 한국소비자단체협의회는 성명을 통해 "쿠팡은 소비자 권리보장을 위한 구체적이고 실효성 있는 대응책을 즉각 마련하라"고 촉구했다.

신용현 한경닷컴 기자 yonghyun@hankyung.com